Владислав Фета (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 15:09:56

Как я понял - теневые копии и восстановление системы - это из одной оперы. К сожалению, на диске D система восстановления Windows была отключена - поэтому вариант только обращаться с письмом в службу поддержки. Как раз сейчас оформляем корпоративную лицензию на NOD32 - как показала практика, Avira, которая стояла до этого, ничего не уберегла((

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 14:00:46

Выполнили и, на всякий случай, прикладываю образ автозагрузки.
Подскажите, а решения по дешифровке вообще нет? Просто в других темах с аналогичным "заражение" просили отправить в суппорт письмо о лекарстве, а в нашем случае - его нет?
И второй вопрос - что за теневые копии?

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 11:57:45

Давайте удалим, всё равно ничего не работает((
Появилась проблема - не даёт по удалёнке подключиться к серверу пользователям

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 11:17:14

Админы... штатных нет, а знакомый админ сказал шуршать по интернету в происках решения проблемы( поэтому - вот своими силами и с вашей огромной помощью надеемся восстановить все данные
Новый образ автозапуска в приложении

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 10:42:43

"Remote Control сами установили?
C:\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
+
в системе еще активный майнер.
C:\WINDOWS\SYS\SVCHOST.EXE "
Не можем знать - возможно и не сами(
Скрипт выполнили, перезагрузились - из нового только ошибка Firefox при загрузке Windows вылезла, а так ничего не поменялось на первый взгляд.
Наши дальнейшие действия?

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 04.07.2017 18:06:12

Прикрепляю образ автозапуска

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 04.07.2017 17:21:35

Добрый день. 28 июня файлы на сервере были переименованы и стали выглядет вот так:
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-RSSTUUVWXYYYZABCCDDEFGGHHIJKKL.MMN.oop
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-TUUVWWXYZABBBCDEFFFGHIJJKKLMNN.OPP.qrr
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-IJJKLMNNOOPQRRSSTUVWWWXYZAAABC.DEF.fgg
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-RTTUVWXXYYZABCCDDEFGGHHIJKKLMM.NOP.qqq
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-DEFGHHIJKKLLMNNOPPQRRSTUUVVWXY.YZA.abc
и так далее.
Также были созданы во всех папках readmy.txt со следующим сообщением:
"for decrypt files write you country to [URL=mailto:[email protected]][email protected][/URL]"

В приложении архив с парочкой таких файлов.

Источник всего этого безобразия неизвестен - сервер работал отлично, а в 13-14 часов произошли все эти изменения файлов.
Проверка ПК NOD32 Antivirus 10 выявила и очистила 4 угрозы:
1. Модифицированный Win32/Filecoder.NHT троянская программа
2. Модифицированный Win32/Filecoder.NLK троянская программа
3. Win64/Agent.GW троянская программа
4. Модифицированный Win32/Kryptik.FTOK троянская программа

Просим помощи!
Заранее спасибо!

Перейти